封鎖USB For Windows OS

圖片來源

本篇供記憶用：原文

抄歸抄分享一下實際經驗給大家，之前有聽過其他先進說過，前陣子使用這個方法也碰過，只不過時間久了也忘了，以下經驗分享：

使用這種下述這2種方法僅限於使用過的隨身碟有用，凡是第一次使用在這台電腦的隨身碟都會破功，我在猜想機碼只認usbstor.pnf 裡的資訊，所以只針對usbstor.pnf 裡的記憶過的隨身碟進行封鎖，大致上是這樣。

所以可以採用最下方12種方法裡的其他方法，雖然可能有些方法如拔線或封USB孔感覺沒有什麼技術性，但是就風險管理的角度上來說，風險迴避就是最有效的處理模型，(像怕盲腸炎就割盲腸，就不會得盲腸炎，道理是一樣的，但是記得還是會產生其他不同類型的風險，請看官自行評斷)。

網路查到下述方法，我改了一下批次檔，增加下列動作，但未曾測試，請參考。

補充：

針對機碼其實還可以將下列檔案的使用權限設定為「拒絕」權限，更能完全避免機碼被修改回來。

• %SystemRoot%\system32\DRIVERS\USBSTOR.SYS

                                                                                                                               

就微軟官方說法支援版本，請參考

文章編號: 823732 - 上次校閱: 2011年9月25日 - 版次: 7.0

這篇文章中的資訊適用於:

• Microsoft Windows XP Home Edition (家用版)
• Microsoft Windows XP Professional
• Microsoft Windows 2000 Advanced Server
• Microsoft Windows 2000 Professional Edition
• Microsoft Windows 2000 Server
• Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
• Microsoft Windows Server 2003, Standard Edition (32-bit x86)

封鎖USB Windows 作業系統(應該吧..不確定喔..XP已實驗OK)

DisableUSB.bat

-----------------------------------------------------------------------------

regedit /s DisableUSB.reg

cacls %systemroot%\inf\usbstor.inf /E /D everyone

cacls %systemroot%\inf\usbstor.pnf /E /D everyone

cacls %SystemRoot%\system32\DRIVERS\USBSTOR.SYS /E /D everyone

@pause

-----------------------------------------------------------------------------

DisableUSB.reg

-----------------------------------------------------------------------------

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor]

"Start"=dword:00000004

-----------------------------------------------------------------------------

解法:

EnableUSB.bat

-----------------------------------------------------------------------------

cacls %systemroot%\inf\usbstor.inf /E /R everyone

cacls %systemroot%\inf\usbstor.pnf /E /R everyone

cacls %SystemRoot%\system32\DRIVERS\USBSTOR.SYS /E /R everyone

regedit /s EnableUSB.reg

＠pause

-----------------------------------------------------------------------------

 EnableUSB.reg

-----------------------------------------------------------------------------

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor]

"Start"=dword:00000003

-----------------------------------------------------------------------------

嘮叨一下：

如果真的要解上述封鎖，今天如果繞過OS一樣可以解封鎖直接拿取硬碟內資料，至於怎麼防資料被取走，方法一大堆說不完，上述方法給大家做實驗玩玩就好，我是覺得鎖不太住，只能鎖鎖不太懂電腦的人或是一般使用者，現在Google那麼強，隨意搜一搜都是解法，除非使用非常手段，不然只能防君子不能防小人，各位MIS夥伴們，大家辛苦了。

參考：

1.

封鎖USB隨身碟及隨身硬碟（適用WINXP及WIN7）

http://mrynlin.blogspot.tw/2012/07/usbwinxpwin7.html

2.自己動手做！企業實際執行USB埠封鎖的12種方法

http://www.ithome.com.tw/itadm/article.php?c=48641&s=4
3.如何避免使用者連接至 USB 儲存裝置？
http://support.microsoft.com/kb/823732/zh-tw
4.
http://blog.yam.com/gavint/article/19014168